Voordat organisaties de eerste stappen gaan zetten met informatiebeveiliging, moet eerst een analyse gemaakt worden waartegen precies beveiligd moet worden. Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet risicomanagement. Risicomanagement is een continu proces waarin risico’s worden geïdentificeerd, onderzocht, en gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de de Chief Information Security Officer (CISO) of de Information Security Officer (ISO).
De eerste stap in het proces van risicomanagement start met een risicoanalyse. Risicoanalyse is een methodiek om inzicht te krijgen in de verschillende risico’s die een organisatie loopt. Een risico – het gevaar voor schade aan of verlies van informatie – wordt bepaald door een aantal factoren. Dit zijn de dreiging, de kans dat een dreiging zich daadwerkelijk manifesteert en de gevolgen daarvan. Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het risico, maar ook de inschatting ervan door het management, bepaalt hoeveel maatregelen genomen moeten worden om het risico in te perken.
Om het proces risicomanagement goed te begrijpen, onderscheidt de Code voor Informatiebeveiliging (ISO27000®) een aantal begrippen die consistent toegepast moeten worden:
Een zwakheid is een hiaat binnen een asset of groep van assets (bedrijfsmiddelen) die misbruikt kan worden door een of meer bedreigingen. Een typische vorm van een zwakheid is de afwezigheid van maatregelen waardoor een zwakheid uitgebuit kan worden. Denk hierbij aan een open poort in een firewall of het gebrek aan sleuteldiscipline in een serverruimte.
Een dreiging komt voor uit een niet-gewenst incident en kan schade berokkenen aan een systeem of aan de organisatie. Een dreiging wordt werkelijkheid als een incident optreedt. De entiteit die gebruik maakt van een zwakheid wordt dan aangeduid aan de ‘threat agent.’ Voorbeelden van ‘threat agents’ zijn hackers of kwaadaardige software. Dreigingen kunnen verschillen per land, afhankelijk van de mate van ontwikkeling of bijvoorbeeld internet gebruik.
Een risico is de kans dat een dreiging gebruikmaakt van een zwakheid en de bijbehorende impact voor de organisatie. Een risico verschilt dus van een dreiging in de zin dat bij een risico het element ‘kans’ een essentiële rol speelt. Risico bindt de zwakheid, de dreiging en de waarschijnlijkheid samen tot een resulterende business impact.
Een blootstelling is een toestand waarin schade geleden wordt door toedoen van een threat agent. Een zwakheid stelt een risico bloot aan mogelijke schade. De blootstelling treedt dus in op het moment dat zich een incident heeft gemanifesteerd. Een zwak wachtwoord beleid kan er bijvoorbeeld toe leiden dat een hacker zich op de systemen begeeft (= incident) en gedurende en bepaalde tijd (= blootstelling) toegang heeft tot klantgegevens.
Voor het uitvoeren van informatiebeveiliging is het belangrijk dat iedereen dezelfde terminologie gebruikt. Deze terminologie komt ook terug in de Code voor Informatiebeveiliging (ISO27000®).
"*" geeft vereiste velden aan